访问控制模型综述

２００６年第２８卷第４期第１页电气传动自动化ＥＬＥＣＴＲＩＣＤＲＩＶＥＡＵＴｏＭＡＴＩｏＮＶ０１．２８。

Ｎｏ．４２００６。

２８（４）：１～５文章编号：１００５—７２７７（２００６）０４—０００ｌ—０５访问控制技术综述鲍连承１，赵景波ｌ，２（１．海军潜艇学院，山东青岛２６６０７ｌ；２．哈尔滨工程大学自动化学院，黑龙江哈尔滨１５０００１）摘要：访问控制是一门重要的信息安全技术。

论文介绍了自主访问控制和强制访问控制的原理和特点，描述了基于角色的访问控制技术，分析了ＲＢＡＣ９６模型、ＡＲＢＡｃ９７模型以及最近提出的ＮＩｓＴＲＢＡｃ建议标准的原理和特点。

关键词：自主访问控制；强制访问控制；基于角色的访问控制；角色管理中图分类号：ＴＰ３９３．０８文献标识码：ＡＡｓｕｒＶｅｙｏｎａｃｃｅ辎ｃ帅ｔｒｏｌｔｅｃｈＩｌｏｌｏｇｙ—Ｅ≯ＡＤ—Ｌ妇ｎ—ｃ＾Ｐ，１９１，Ｚ且ｒＡＤ－，抛—６０１’２（１．Ⅳ面ｙＳＨ６ｍ洲聊Ａｃ础州，Ｑｉ增加２６６０７１，伪ｉＭ；２．Ａ“幻ｍｍ如ｎｃｏ讹酽，日舶ｉｎＥ画船ｅ＾愕‰如邮蚵，日舶讥１５０００１，吼ｉｍ）Ａｂｓｔｒａｃｔ：Ａｃｃｅｓｓｃｏｎｔｒｏｌｉｓｉｍｐｏｒｔａｎｔｉｎｆｏ册ａｔｉｏｎｓｅｃｕｒｉｔｙｔｅｃｈｎｏｌｏｇｙ．ＤｉｓｃｒｅｔｉｏｎａｒｙｃｏｎｔｍｌａｎｄｍａｎｄａｔｏｒｙｃｏｎｔＩＤｌｉｎｔｒｏｄｕｃｅｄ．Ｔｈｅｔｅｃｈｎｏｌｏｇｙｏｆｍｌｅ—ｂａｓｅｄｃｏｎｔｒｏｌｉｓｄｅｓｃｒｉｂｅｄ．７１１ｌｅｐｒｉｎｃｉｐｌｅｓａｎｄｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆｔｈｅｍｏｄｅｌＲＢＡＣ９６ａｎｄｔｈｅｍｏｄｅｌＡＲＢＡＣ９７ｗｅＵｔｈｅｎｅｗｌｙｐｍｐｏｓｅｄＮＩＳＴＲＢＡＣｓｔａｎｄａｒｄａｎａｌｙｚｅｄｉｎｄｅｔａｉｌ．Ｋｅｙｗｏｒｄｓ：ＤＡＣ；ＭＡＣ；ＲＢＡＣ；ｍｌｅｍａｎａｇｅｍｅｎｔ１引言随着网络技术的发展和网上应用的日益增加，信息安全问题日益凸现。

目前，世界各国都深亥口认识到信息、计算机、网络对于国防的重要性，并且投入大量资金进行信息安全的研究和实践。

自主访问控制综述摘要：访问控制是安全操作系统必备的功能之一，它的作用主要是决定谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。

而自主访问控制（Discretionary Access Control, DAC）则是最早的访问控制策略之一，至今已发展出多种改进的访问控制策略。

本文首先从一般访问控制技术入手，介绍访问控制的基本要素和模型，以及自主访问控制的主要过程；然后介绍了包括传统DAC 策略在内的多种自主访问控制策略；接下来列举了四种自主访问控制的实现技术和他们的优劣之处；最后对自主访问控制的现状进行总结并简略介绍其发展趋势。

1自主访问控制基本概念访问控制是指控制系统中主体（例如进程）对客体（例如文件目录等）的访问（例如读、写和执行等）。

自主访问控制中主体对客体的访问权限是由客体的属主决定的，也就是说系统允许主体（客体的拥有者）可以按照自己的意愿去制定谁以何种访问模式去访问该客体。

1.1访问控制基本要素访问控制由最基本的三要素组成：●主体（Subject）：可以对其他实体施加动作的主动实体，如用户、进程、I/O设备等。

●客体（Object）：接受其他实体访问的被动实体，如文件、共享内存、管道等。

●控制策略（Control Strategy）：主体对客体的操作行为集和约束条件集，如访问矩阵、访问控制表等。

1.2访问控制基本模型自从1969年，B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象，经过多年的扩充和改造，现在已有多种访问控制模型及其变种。

本文介绍的是访问控制研究中的两个基本理论模型：一是引用监控器，这是安全操作系统的基本模型，进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系；二是访问矩阵，这是访问控制技术最基本的抽象模型。

1.2.1引用监控器1972年，作为承担美国军的一项计算机安全规划研究任务的研究成果，J. P. Anderson在一份研究报告中首次提出了用监控器（Reference Monitor）、安全内核（Security Kernel）等重要思想。

基于角色的强制访问控制模型的研究与应用随着信息技术的发展，信息系统的安全性已成为政府部门和企业需要关注的重要课题。

信息安全管理体系已成为有效控制信息系统安全性、防止信息泄露的有力工具。

强制访问控制模型是信息安全管理体系的重要组成部分，它是根据资源（包括硬件和软件）的安全性要求，以及用户的不同角色，对整个系统的访问授权活动进行控制的一种模型。

本文的主要内容是介绍基于角色的强制访问控制模型的具体实现方法，并分析其实际应用中碰到的技术问题和拓展性能。

首先，介绍基于角色的强制访问控制模型的基本原理，包括访问控制规则集合，策略存储结构，实现机制，安全管理等功能模块；其次，具体分析基于角色的强制访问控制模型的实现过程与技术细节，强调策略表及策略计算的实现；最后，根据实际应用情况，分析角色的延展性与访问权限实现的通用性，同时介绍RBAC（Role-Based Access Control）安全策略的实践应用。

首先，基于角色的强制访问控制模型是基于特定安全性模型而设计的，它要求实现一套统一的访问控制模型，用于控制不同操作者对公共资源的使用。

其中涉及到访问控制规则集合，其中角色就是一个重要的规则元素，它表示操作者的不同身份角色，从而可以分配权限和授予访问资源的策略。

因此，访问控制模型就是一种以“资源-角色-操作-权限”为核心的安全管理规范。

其次，基于角色的强制访问控制模型的具体实现需要建立一套策略存储结构，来保存访问控制规则。

常用的策略存储结构分为策略表和策略计算两部分，其中策略表保存具体的访问控制规则，如用户与角色之间的关联关系，角色与资源之间的关联关系，以及角色与具体权限之间的关联关系；而策略计算部分主要功能是根据实际用户的身份以及当前访问资源的情况，计算其可以访问的权限。

最后，基于角色的强制访问控制模型的实际应用中存在着一些优化问题。

首先，角色的重复定义会增加系统的管理复杂度，同时也会增加认证授权规则的定义；其次，由于系统中角色的繁多性，它需要有足够的延展性以记录各种不同角色；最后，由于需要考虑到复杂性，因此需要有足够的通用性，使得访问权限实现能够单一化。

数据隐私保护技术综述与比较分析随着数字化时代的到来，个人数据的收集、存储和使用已经成为一种普遍现象。

在这个信息爆炸的时代，保护个人数据的隐私成为了一个全球性的挑战。

数据隐私保护技术的发展越来越重要，以确保个人数据的安全和保密。

本文将对数据隐私保护技术进行综述与比较分析，以探讨当前主流数据隐私保护技术的特点以及各自的优缺点。

一、数据隐私保护技术的综述1. 数据隐私的定义与重要性数据隐私是指个人数据的保密性、完整性和可用性，涉及到个人身份、位置、行为、偏好等敏感信息。

数据隐私的保护对于个人权益、社会稳定以及商业信任都具有重要意义。

2. 数据隐私的威胁与挑战在数字化环境中，数据隐私面临着多种威胁和挑战，包括数据泄露、数据滥用、数据融合等。

这些威胁和挑战需要创新的数据隐私保护技术来应对。

3. 数据隐私保护的原则与法律规定数据隐私保护需要遵循一系列原则，如最小化原则、目的明确原则、合法性原则等。

同时，各国家和地区也都制定了相应的数据隐私保护法律和法规。

4. 数据隐私保护技术的分类数据隐私保护技术可以分为加密技术与非加密技术两大类。

其中，加密技术包括对称加密、非对称加密、同态加密等；非加密技术包括隐私保护模型、数据匿名化、差分隐私等。

二、数据隐私保护技术的比较分析1. 加密技术（1）对称加密：对称加密是一种常用的加密技术，其特点是加解密速度快，但需要保证密钥的安全性。

（2）非对称加密：非对称加密通过公钥密钥对实现加解密，相比对称加密更安全，但效率较低。

（3）同态加密：同态加密可以在未解密的情况下对数据进行计算，有助于保护数据的隐私。

但是，同态加密的计算速度较慢。

2. 非加密技术（1）隐私保护模型：隐私保护模型基于一定的数学模型，通过限制数据访问和使用来保护数据隐私。

常见的隐私保护模型包括访问控制模型、聚合模型等。

（2）数据匿名化：数据匿名化通过删除或替换个人信息来保护数据隐私。

常见的技术包括k-匿名、l-多样性、t-秘密等。

访问控制起源于20世纪60年代，是一种重要的信息安全技术。

所谓访问控制，就是通过某种途径显式地准许或限制访问能力及范围，从而限制对关键资源的访问，防止非法用户侵入或者合法用户的不慎操作造成破坏。

访问控制一般包括主体、客体和安全访问规则3个元素。

主体是指发出访问操作、存取要求的主动方，通常指用户或某个进程；客体是一种信息实体，指系统中的信息和资源，可以是文件、数据、页面、程序等；访问规则规定了哪些主体能够访问相应的客体，访问权限有多大。

1访问控制一般原理在访问控制中，访问可以对一个系统或在一个系统内部进行。

在访问控制框架内主要涉及请求访问、通知访问结果以及提交访问信息。

访问控制的一般模型见图1。

该模型包含了主体、客体、访问控制实施模块和访问控制决策模块。

实施模块执行访问控制机制，根据主体提出的访问请求和决策规则对访问请求进行分析处理，在授权范围内，允许主体对客体进行有限的访问；决策模块表示一组访问控制规则和策略，它控制着主体的访问许可，限制其在什么条件下可以访问哪些客体。

2传统访问控制早期的访问控制安全模型有自主访问控制（Discretionary Access Control,DAC ）模型和强制访问控制（M andatory Access Control,M AC ）模型，这两种模型在20世纪80年代以前占据着主导地位。

DAC 模型是根据自主访问策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。

DAC 模型的主要特点是授权灵活，系统中的主体可以将其拥有的权限自主地授予其他用户；缺点是权限很容易因传递而出现失控，进而导致信息泄漏。

M AC 模型是一种多级访问控制策略模型，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。

物联网环境中的数据存储与访问控制技术研究第一章：引言随着物联网技术的迅速发展，不断增加的设备和传感器正在以前所未有的速度产生大量数据。

这些数据是物联网生态系统的核心，也是实现智能城市、工业自动化和智能家居等领域的关键。

然而，这些数据的存储和访问控制成为了物联网应用中的重要挑战。

本文将深入探讨物联网环境中的数据存储与访问控制技术，并对相关的研究进行概述。

第二章：物联网数据存储技术2.1 云存储技术云存储技术作为物联网数据存储的一种重要方式，具有可扩展性、弹性和可靠性的优势。

通过将数据存储在云中，物联网应用可以随时随地访问和处理数据。

然而，云存储技术也面临着数据隐私和安全性的问题，需要采取适当的加密和访问控制措施来保护数据的安全。

2.2 边缘计算和分布式存储技术随着物联网设备数量的增加，将数据集中存储在云中会导致网络负载过大和延迟增加的问题。

为了解决这个问题，边缘计算和分布式存储技术逐渐引入物联网应用。

边缘计算将计算和存储能力移到离数据源较近的边缘设备上，可以更快地响应和处理数据。

分布式存储技术则将数据分散存储在多个节点上，提高系统的可扩展性和容错性。

第三章：物联网数据访问控制技术3.1 访问控制模型物联网环境中的数据访问控制需要明确的权限管理和策略机制。

通过采用访问控制模型，可以定义和控制用户对数据的访问权限。

常见的访问控制模型包括基于角色的访问控制模型（RBAC）和基于属性的访问控制模型（ABAC）等。

3.2 身份验证与身份管理在物联网环境中，设备和传感器的身份认证是保护数据安全的重要措施。

采用合适的身份验证和身份管理机制，可以确保只有合法的设备和用户才能访问相关数据。

3.3 安全协议与加密技术为了保护物联网环境中的数据传输安全，需要采用合适的安全协议和加密技术。

常用的安全协议包括SSL/TLS、IPSec等，而加密技术则可以用于对数据进行保护，确保数据在传输和存储过程中不会被未授权的访问者获取。

信息安全中的身份认证与访问控制技术综述信息安全是当今数字化社会中不可忽视的重要领域。

在信息系统中，身份认证和访问控制技术是保护敏感信息和资源免受未经授权访问的关键措施。

本文将对身份认证和访问控制技术进行综述，以便读者更好地了解相关概念和技术。

一、身份认证技术身份认证是识别用户身份并验证其合法性的过程。

以下是常见的身份认证技术：1. 用户名和密码：这是最常见的身份认证方法。

用户通过输入预先设置的用户名和密码来验证其身份。

然而，这种方法容易受到密码泄露和社会工程攻击的威胁，因此需要其他的身份认证技术作为补充。

2. 双因素身份认证：双因素身份认证结合两种或多种身份验证方法，以提高安全性。

例如，结合用户名和密码与短信验证码，或者结合指纹识别和密码等。

3. 生物特征识别：通过识别用户的生物特征，如指纹、虹膜、面部或声纹等，来进行身份认证。

生物特征是每个人独一无二的，因此具有很高的安全性。

然而，生物特征识别技术可能受到攻击，例如指纹模板的复制或面部识别的伪造。

4. 令牌身份认证：令牌是一种用于身份认证的可移动设备，如智能卡或USB加密令牌。

用户需要通过插入令牌并输入PIN码等方式来验证自己的身份。

总体上，身份认证技术的选择应该考虑安全性、便利性和成本效益。

单一的身份认证方法可能不足以提供充分的安全性，多种身份验证技术的组合能够提高系统的安全性。

二、访问控制技术访问控制是控制用户对系统、应用程序或资源的访问权限的过程。

以下是常见的访问控制技术：1. 强制访问控制（MAC）：MAC基于标签或类别来定义对象或用户的安全级别，并通过规则来限制对这些对象的访问权限。

因此，只有具有相应安全级别的用户可以访问受保护的对象。

MAC适用于需要严格的访问控制的环境，如军事或政府机构。

2. 自主访问控制（DAC）：DAC允许资源的所有者自行决定其资源的访问权限。

资源的所有者可以授予或撤销其他用户对其资源的访问权限。

然而，DAC可能导致权限的滥用或不当授权，因此需要其他技术来加强访问控制。

基于属性的访问控制模型与应用研究的开题报告开题报告题目：基于属性的访问控制模型与应用研究一、研究背景随着信息技术的发展和普及，信息安全问题变得越来越重要。

对于包含有敏感数据的应用来说，保证访问者只能获取到他们可以访问的数据是极其重要的。

因此访问控制成为了信息安全领域研究的重点之一。

相较于传统的基于角色的访问控制模型，基于属性的访问控制模型提供了更为灵活、精细的访问控制策略，在访问控制领域中备受关注。

二、研究意义基于属性的访问控制模型相对于传统的基于角色的访问控制模型具有更为灵活、可扩展的特性，更适合现代化、复杂的网络环境。

该模型已经在数据共享、身份认证、网络安全等领域得到了广泛应用，但仍存在许多问题需要进一步研究和探讨。

本研究的意义在于理清基于属性的访问控制模型的本质特征、研究该模型在各个领域的具体应用、总结该模型存在的问题并探索解决方案。

三、研究内容1. 基于属性的访问控制模型的基本概念、思想及发展历程2. 基于属性的访问控制模型在数据共享、身份认证、网络安全等领域的具体应用3. 基于属性的访问控制模型的优点、局限性及存在的问题4. 基于属性的访问控制模型优化的研究方向和方法四、研究方法1. 文献综述：对国内外关于基于属性的访问控制模型的相关研究进行系统、全面的梳理和归纳；2. 实证研究：通过实际案例和实验数据进行验证和分析，总结基于属性的访问控制模型在各个领域的应用情况，并探索基于属性的访问控制模型存在的问题及解决方案；3. 计算机仿真：通过构建多种基于属性的访问控制模型的计算机仿真，分析不同的访问控制策略对系统性能影响，进一步探讨该模型的优化方向和方法。

五、预期成果1. 对基于属性的访问控制模型的概念、特征、发展历程和应用进行系统梳理和分析；2. 根据实证研究和计算机仿真的结果，总结基于属性的访问控制模型存在的问题，并提出针对性强的解决方案；3. 提出基于属性的访问控制模型优化的研究方向和方法，为该领域的后续研究提供参考。

基于RBAC权限控制的理论综述摘要：提出了基于RBAC模型的权限管理系统的设计和实现方案。

介绍了多层体系结构设计，阐述了基于角色的访问控制RBAC模型的设计思想，并讨论了权限管理系统的核心面向对象设计模型，以及权限访问、权限控制和权限存储机制等关键技术。

关键词：权限管理系统；角色；访问控制；RBAC模型一、RBAC模型访问控制是针对越权使用资源的防御措施。

基本目标是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用；决定用户能做什么，也决定代表一定用户利益的程序能做什么。

企业环境中的访问控制策略一般有三种：自主型访问控制方法、强制型访问控制方法和基于角色的访问控制方法（RBAC）。

其中，自主式太弱，强制式太强，二者工作量大，不便于管理。

基于角色的访问控制方法是目前公认的解决大型企业的统一资源访问控制的有效方法。

其显著的两大特征是：1.减小授权管理的复杂性，降低管理开销；2.灵活地支持企业的安全策略，并对企业的变化有很大的伸缩性。

NIST（The National Institute of Standards and Technology，美国国家标准与技术研究院）标准RBAC模型由4个部件模型组成，这4个部件模型分别是基本模型RBAC0（Core RBAC）、角色分级模型RBAC1（Hierarchal RBAC）、角色限制模型RBAC2（Constraint RBAC）和统一模型RBAC3（Combines RBAC）。

1、RBAC0定义了能构成一个RBAC控制系统的最小的元素集合。

在RBAC之中,包含用户users(USERS)、角色roles(ROLES)、目标objects(OBS)、操作operations(OPS)、许可权permissions(PRMS)五个基本数据元素，权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限。

车联网大数据的安全访问控制模型设计摘要：随着经济的快速发展，我国配备交通工具的家庭越来越多，部分家庭配备了两台车，导致我国各个城市车辆出行需求加大。

而城市的道路基础设施趋于饱和，如何在有限的道路设施资源条件下，缓解车辆拥堵问题，成为了当前重点研究问题。

目前，车联网是科研人员关注度比较高的课题，希望借助该系统，采集车辆信息，对交通路况进行准确预测，为人们出行给予更为可靠的指导，避免部分路段过于拥堵。

由于该课题提出的时间比较短，尚未形成较为完善的交通路况预测方案。

因此，需要加强基于车联网大数据的交通路况信息系统的开发，完善交通路况预测方案。

关键词：车联网大数据；安全访问控制；模型设计引言近年来，为了满足人们的出行需求，车辆保有量逐年增加，汽车行业越发兴盛。

随着人们对车辆要求的不断提高，车辆运行逐渐向智能化、自动化方面发展。

车联网将汽车与互联网连接，实现人、车、路、云之间数据互通，为驾驶人员驾驶车辆提供帮助，实现智能交通出行。

随着车联网越来越智能化，车联网大数据规模越来越大、类型越来越多，如路况数据、天气状况、行驶轨迹等。

这些数据在车辆驾驶中都起到了非常重要的作用，关系到车辆驾驶的安全性和稳定性。

然而，随着多源异构数据的不断涌入，现有车联网缺乏处理大量数据的能力，使得在后续数据利用时面临着巨大挑战。

为了解决数据处理困难的问题，并提高车联网数据的利用效率，对多源异构环境下的车联网大数据进行处理变得十分重要。

1可视化和智能决策在该系统的设计中，最重要的就是能够实现可视化和智能决策，这将是提供优质服务的最重要的方式。

在可视化和智能决策功能中，系统能够在前期采集的数据处理中获得大量的信息，能够对上车和下车地点、乘客人数、路程时间、订单收入等进行全方位记录和分析，在相应数据的支持下，平台就能够通过具体的流数据进行物流货运车车队的运营管理，并且能够实现科学化安排。

通过确定热点区域（目前对物流货运车需求量很大的区域），以此为基础，平台运营方就能够对未来的需求以及交通状况进行分析，并且对物流货运车进行引导，从而更好地完成闲置物流货运车的科学安排，避免出现资源浪费，同时提供优质服务。

自主访问控制综述自主访问控制综述摘要：访问控制是安全操作系统必备的功能之一，它的作用主要是决定谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。

而自主访问控制（Discretionary Access Control, DAC）则是最早的访问控制策略之一，至今已发展出多种改进的访问控制策略。

本文首先从一般访问控制技术入手，介绍访问控制的基本要素和模型，以及自主访问控制的主要过程；然后介绍了包括传统DAC策略在内的多种自主访问控制策略；接下来列举了四种自主访问控制的实现技术和他们的优劣之处；最后对自主访问控制的现状进行总结并简略介绍其发展趋势。

1自主访问控制基本概念访问控制是指控制系统中主体（例如进程）对客体（例如文件目录等）的访问（例如读、写和执行等）。

自主访问控制中主体对客体的访问权限是由客体的属主决定的，也就是说系统允许主体（客体的拥有者）可以按照自己的意愿去制定谁以何种访问模式去访问该客体。

1.1访问控制基本要素访问控制由最基本的三要素组成：主体（Subject）：可以对其他实体施加动作的主动实体，如用户、进程、I/O设备等。

●客体（Object）：接受其他实体访问的被动实体，如文件、共享内存、管道等。

●控制策略（Control Strategy）：主体对客体的操作行为集和约束条件集，如访问矩阵、访问控制表等。

1.2访问控制基本模型自从1969年，B. W. Lampson通过形式化表示方法运用主体、客体和访问矩阵(Access Matrix)的思想第一次对访问控制问题进行了抽象，经过多年的扩充和改造，现在已有多种访问控制模型及其变种。

本文介绍的是访问控制研究中的两个基本理论模型：一是引用监控器，这是安全操作系统的基本模型，进而介绍了访问控制在安全操作系统中的地位及其与其他安全技术的关系；二是访问矩阵，这是访问控制技术最基本的抽象模型。

1.2.1引用监控器1972年，作为承担美国军的一项计算机安全规划研究任务的研究成果，J. P. Anderson在一份研究报告中首次提出了用监控器（Reference Monitor）、安全内核（Security Kernel）等重要思想。

TRBAC：基于信任的访问控制模型刘武;段海新;张洪;任萍;吴建平【摘要】访问控制是根据网络用户的身份或属性,对该用户执行某些操作或访问某些网络资源进行控制的过程.对现有访问控制模型进行分析,并针对其不足对RBAC 模型进行了扩展,提出了基于信任的访问控制模型TRBAC(trust based access control model).该模型可以提供更加安全、灵活以及细粒度的动态访问授权机制,从而提高授权机制的安全性与可靠性.%Access control is a process which controls users to execute some operations or access some network resources according to the users' identity or attribution. The discretionary access control and mandatory access control are two main access control modes which are broadly used in secure operating systems. Discretionary access control is based on user identity and/or groups and mandatory access control is usually based on sensitivity labels. Neither of these two modes can completely satisfy the requirements of all access control. Discretionary access control is too loose to restrict the propagation of privileges while mandatory access control is too rigid to use flexibly. This paper analyzes current access control models, and extends the RBAC (role based access control) model aiming at its deficiency, and based on which we propose a trust based access control model (TRBAC). The TRBAC model can provide more security, flexible and fine-grained dynamic access control mechanism, and therefore improve both the security and the reliability of authorization mechanism.【期刊名称】《计算机研究与发展》【年(卷),期】2011(048)008【总页数】7页(P1414-1420)【关键词】信任;可信计算;访问控制;网络安全;网络管理【作者】刘武;段海新;张洪;任萍;吴建平【作者单位】清华大学信息网络工程研究中心北京 100084;清华大学信息网络工程研究中心北京 100084;清华大学信息网络工程研究中心北京 100084;重庆师范大学经济与管理学院重庆400047;清华大学信息网络工程研究中心北京 100084【正文语种】中文【中图分类】TP393.07访问控制［1］是根据网络用户的身份或属性对该用户执行某些操作或访问某些网络资源进行控制的过程.访问控制有3个目的：1）防止非法用户侵入系统，访问受保护的网络资源或服务；2）为合法用户授予适当权限，允许其访问受保护的网络资源或服务；3）防止合法用户访问未被授权的网络资源或服务［2－3］.本文分析了现有访问控制模型，针对其不足，对RBAC模型进行了扩展，提出了基于信任的访问控制模型TRBAC（trust based access control model），并通过实验对该模型进行验证.1 访问控制模型研究综述目前的主流访问控制模型［4－6］包括：自主访问控制（DAC）、强制访问控制（MAC）以及基于角色的访问控制（RBAC），以下分别进行分析.1.1 自主访问控制自主访问控制（discretionary access control，DAC）［7］是在确认主体身份的基础上，根据其身份标识与权限的对应关系进行授权.DAC的基本思想是客体所有者自主决定其他主体对该客体的访问权限，而获得访问权限的主体还可以将自己的权限进一步授予其他的主体.通过这种方式，DAC的授权就形成了一个链式结构，例如主体A，B，C，D之间存在一个授权关系：A→B→C→D，这表示主体A将对某个客体o的权限授予主体B，主体B又将该权限授予主体C，最后C将权限又传递给主体D，这样，主体A，B，C，D都拥有了对客体o的相同访问权限.在这个链式结构中，每个主体都只能对自己的后继节点进行权限管理，而无法对更下一层的节点进行管理.DAC的优点是主体对授权过程具有极大的灵活性，但缺点是权限的授予过程存在链式结构，它能控制主体能否直接获得对客体的访问权限，但不能控制主体间接获得对客体的访问权限，因此安全性能相对较低.另外在权限管理方面，系统需要维护不同主体对不同客体的不同访问权限之间的关系，权限管理复杂性较高.1.2 强制访问控制强制访问控制（mandatory access control，MAC）［8］是依据主体以及客体的安全属性来决定是否进行访问授权.MAC的基本思想是：每个主体、客体都有一个代表其安全属性的标签.其中，主体的安全属性反映了主体能够获得的权限等级，客体的安全属性表示客体的敏感程度.MAC通过比较主体与客体的安全属性来决定用户是否能够获得访问权限.MAC的优点是在权限授予过程中，不仅需要检查主体是否对客体具有操作权限，还需要检查主、客体的安全属性是否符合要求，这使得授权过程更加安全.因此，MAC适合对安全性要求较高的应用系统.MAC的缺点是权限管理系统必须为每个主体或客体分配安全属性，并需要仔细定义主、客体安全属性之间的对应关系，从而防止出现合法主体不能对授权客体进行操作，以及非法主体能够对未授权客体进行操作的现象.因此，MAC的权限管理难度较大.1.3 基于角色的访问控制基于角色的访问控制（role－based access control，RBAC）［1］通过在用户集合与权限集合之间建立角色集合，将权限的授予过程分为2步进行.首先，权限管理根据应用系统的组织结构设置不同的角色，并建立了角色与权限之间的映射关系：“角色→权限子集”，在这个关系中，角色成为权限子集的所有者.其次，权限管理根据主体身份的不同为其分配对应的角色，这建立了主体与角色之间的映射关系：“主体→角色”.在这个关系中，主体是角色的使用者.通过上述2个步骤，RBAC就建立起了主体与权限的映射关系：“主体→角色→权限子集”.RBAC的优点是避免了DAC与MAC中用户与权限之间的直接映射关系，而建立了一个分层的间接映射关系.这个方法有效地降低了权限管理的复杂度，具有较高的灵活性.当然，RBAC模型也存在许多不足之处：首先，RBAC模型在将角色分配给用户时，只验证用户的身份真实性，而没有考虑用户的行为可信性.其次，RBAC模型采用预先分配方式为角色进行访问授权，而在用户实际使用权限的过程中并不进行监管与控制，当发现用户进行恶意操作时，系统很可能已经受到侵害. 随着对信任模型研究的深入，一些学者提出了将信任集成到传统的访问控制模型中［9－10］.例如，Chakraborty等人在RBAC模型的基础上，提出了TrustBAC ［11］模型.该模型在用户获得角色之前，首先计算该用户的信任值，然后根据信任值决定用户能够获得该角色，即用户的信任值决定其能否获得对应的权限.TrustBAC模型克服了RBAC模型动态性、监管性不足等缺点，能够动态地进行角色分配.但它也存在一定的不足之处，例如只要用户的信任值达到一定程度，都能获得对应角色的全部权限，而不考虑各个权限对用户信任值的不同需求，这给恶意用户提供了绕过访问控制的机会：他们可以通过先积累信任值，获得较高等级的角色权限后再对系统进行破坏.2 基于信任的访问控制模型TRBAC在上一节中，对现有访问控制模型进行了介绍，发现它们存在着种种不足.针对这些不足，本文对RBAC模型进行了扩展，提出一种基于信任的访问控制模型TRBAC.该模型从权限对用户的具体要求出发，综合计算用户的多种信任特征，实现细粒度、灵活的授权机制，从而更为安全合理地为用户分配所需权限.2.1 模型结构图1所示为本文提出的TRBAC模型结构：Fig.1 Structure of TRBAC model.图1 TRBAC模型结构定义1.TRBAC模型可以形式化地定义如下：1）用户.USER＝｛user1，user2，…，usern｝，系统中用户的集合.用户指一个可以独立访问系统服务的主体，可以是自然人，也可以是具有自主行为的网络程序等.2）服务.SERVICE＝｛service1，service2，…，servicen｝，系统为用户提供的服务集合.3）操作.OPERATION＝｛read，write，execute，…｝，用户对服务可以执行的操作集合.4）条件.CONDITION，用户对服务可以执行操作时的条件.在本模型中，条件是指用户为了获得对应权限，其信任值应该达到的信任阈值.5）权限.PERMISSION＝｛p1，p2，…，pn｝，权限集合.权限是对系统提供的服务进行访问的许可.在本模型中，将权限定义为pi＝（op，s，condition），其中服务s是访问控制系统的真正客体，操作op是作用在该服务上的一种访问方式，condition∈CONDITION是用户被允许执行该操作时信任值应该达到的阈值条件. 6）角色.ROLE＝｛role1，role2，…，rolen｝，系统设置的角色集合.角色是指一个系统中的工作或位置，代表对系统中某些部分进行操作的资格或权利.角色role可以看作是将权限分配给用户的映射函数，即P＝role（user），其中P⊆PERMISSION.7）信任值.TRUSTVALUE，根据信任计算算法得到的用户信任值，其值域为［0，1］.8）上下文.CONTEXT，计算信任值时所需要的上下文环境.9）会话.SESSION，会话集合.会话对应于一个用户和一组激活的角色，表示用户获得角色的过程.一个用户可以进行多次会话，在每次会话中获得不同的角色，这样用户也将具有不同的访问权限.10）URA⊆USER×ROLE：用户角色分配，是用户集合USER到角色集合ROLE的多对多的映射关系，表示一个用户可以获得多个角色，一个角色也可以被分配给多个用户.（user；role）∈URA：表示用户user拥有角色role，即表示用户user可以使用角色role所具有的权限.11）UTA⊆USER×TRUSTVALUE：用户信任值分配，表示用户集合USER到信任值集合TRUSTVALUE的多对多映射关系，即一个用户可以拥有不同的信任值，从而表示用户不同的信任特征.12）RPA⊆ROLE×PERMISSION：角色权限分配，是权限集合PERMISSION到角色集合ROLE的多对多映射关系.PRA（p，role）表示权限p被赋予给角色role，即拥有角色role的用户能够使用权限p.13）PA⊆TRUSTVALUE×PERMISSION，权限激活，是指根据用户信任值以及权限的条件判断该用户能否使用该权限的过程.2.2 信任值计算不同的上下文可能要求考虑该用户不同的信任特征，采用的信任计算算法也可能有不同，各有侧重.如图2所示，本文先对上下文进行如下定义：定义2.CONTEXT＝（TF，TA），其中：1）TF＝｛tf1，tf2，…，tfn｝表示上下文对用户所要求的信任特征子集，子集中的元素定义为：tfi＝（featurei，wi），featurei表示用户的某种信任特征名称，wi表示在计算用户信任值时，该信任特征所占的比重，wi的值越大，表示该信任特征越重要.2）TA＝｛ta1，ta2，…，tan｝表示计算信任值时使用的算法名称，例如average，weight等.average表示计算各信任特征的平均值，weight表示根据权重计算这些信任特征的加权平均值.因此，在某个上下文c中，用户user的对应信任值为：Fig.2 The context and trust feature graph.图2 上下文与信任特征关系图2.3 授权过程在TRBAC模型中，用户获得权限的过程分为2部分：首先，用户进行身份认证（autentication）.通过身份认证后，TRBAC模型建立会话，并根据用户的身份标识为其分配角色（role assignment）.在这个过程中，用户获得了使用角色所拥有的权限的资格，但此时还不能使用这些权限.将此时用户所拥有的权限集称为基本权限集（basic permission set，BPS）.定义3.基本权限集是指在一个系统中，用户（user）根据其身份标识得到的角色（role）所具有的权限集合，即BPSuser＝role（user）.接下来，用户在访问服务之前，TRBAC模型根据上下文对用户进行信任计算（trust value computing），并根据所请求权限的条件判断用户是否能够使用该权限.当用户的信任值达到使用权限的条件后，用户获得授权并访问服务（access services）.在用户访问服务之后，TRBAC模型对用户的行为进行评价（behavior assessment）.当用户再次访问服务时，重新进行上述过程.在这个过程中，用户的行为结果会对下一次访问授权产生影响，从而保证用户使用权限的安全性.整个过程如图3所示：Fig.3 The experimental environment of TRBAC model.图3 TRBAC模型实验环境3 实验与评价3.1 实验场景本实验以一台文件服务器（FTP）的访问控制过程来举例说明TRBAC模型的应用，如图4所示：Fig.4 The context and trust feature relationship graph.图4 上下文与信任特征关系图在实验中，建立了2个角色：role1与role2.其中：1）角色role1具有权限集合P1，该权限集合中的权限包括：op11＝（d，s1，0.2），op12＝（d，s2，0.4），op13＝（d，s3，0.6），op14＝（u，s4，0）.角色role2具有权限集合P2，该权限集合中的权限包括：op21＝（d，s1，0.2），op22＝（d，s2，0.4），op23＝（u，s4，0）.在权限的设置中，d表示下载操作，u表示上传操作.从权限的设置可以看到，只有当用户的信任值超过权限的阈值后，服务器才允许该用户获得对应的下载速率.同时，为了鼓励用户向服务器上传文件，将用户执行上传权限（op14与op23）的阈值设置为0，即允许任何用户上传文件，从而积累信任值.2）本文还设置了计算用户信任值时所需考虑的上下文（c1与c2）.在本实验中，由于用户的信任值来源于其上传操作，因此设置c1＝c2＝（（1，tfupload），“weight”），表示只考虑用户上传操作的信任特征值tfupload，且使用加权平均的算法来计算用户的综合信任值：3）s1，s2，s3，s4的下载速率（download speed）均为100KBps.根据用户执行上传操作的情况计算其上传信任特征值.在实验中，本文将用户上传操作所得到的评分值设为rupload∈［0，1］，则其上传信任特征值为：其中，α∈［0，1］为历史因子，表示用户历史信任值在当前信任值中所占的比重.在本实验中，α＝0.4.3.2 实验结果在实验中，本文模拟了2个用户user1与user2，分别对应角色role1与role2，他们通过向文件服务器上传文件获得信任值，并根据该信任值来激活不同的权限，以获得相应的下载速率.图5显示了用户user1的信任值与下载速率.实验结果表明：用户user1的信任值越高，能获得的下载速率越高，这也表明能获得的权限也就越大.而当其信任值降低时，相应的下载速率也被降低，尤其是当信任值低于角色role1的所有权限的条件时，用户也就无法获得任何的权限（下载速率为0）.Fig.5 Trust value and download speed graph of user user1.图5 用户user1的信任值与下载速率信任值越高，用户能获得的下载速率越高，这也表明用户能获得的权限也就越大.而当其信任值降低时，相应的下载速率也被降低，尤其是当信任值低于角色role1的所有权限的条件时，用户也就无法获得任何的权限（下载速率为0）.图6显示了用户user2的信任值与下载速率.从图6中可以得出以下结论：Fig.6 Trust calue and download speed graph of user user2.图6 用户user2的信任值与下载速率1）与图5类似，用户user2的信任值越高，能获得的下载速率越高，这表明用户能获得的权限也就越大.而当其信任值降低时，相应的下载速率也被降低.尤其是当信任值低于角色role2的所有权限的条件时，用户也就无法获得任何的权限（下载速率为0）.2）在角色role2的权限集｛p21，p22，p23｝中，所有权限的最大下载速率只有200KBps，因此，即使用户user2的信任值可以到达权限p13的信任阈值（0.6），他也无法获得该权限.这就避免了用户通过积累信任值来获得更大权限的可能.为了对比TRBAC模型的安全性，本文在同样的实验场景中模拟实现了TrustBAC模型［11］.在本实验中，角色role1与role2所具有的权限集合保持不变.同时，设置用户获得角色role1的信任阈值为0.6，而获得角色role2的信任阈值为0.4. 图7与图8分别显示了2个角色的用户的信任值与下载速率.从实验结果中可以看出：1）用户的信任值越高，从TrustBAC获得的角色等级越高：当信任值超过0.6时，用户可以获得角色role1；低于0.6而高于0.4时，可以获得角色role2；低于0.4则无法获得任何角色.2）用户获得角色后，可以使用该角色中的所有权限.实验结果显示，用户总是使用角色权限集合中下载速率最大的权限（获得角色role1时下载速率为500KBps，获得角色role2时下载速率为200KBps）.Fig.7 Trust value and download speed graph of user role1.图7 用户role1的信任值与下载速率通过以上2个实验可以看出：首先，TRBAC模型克服了TrustBAC模型安全性不足的缺点，用户无法利用自己的信任值从系统中无限制地获取任意等级的角色，也就无法获得更高的访问权限.Fig.8 Trust value and download speed graph of user role2.图8 用户role2的信任值与下载速率其次，在TRBAC模型中，用户在使用权限前进行信任评估，根据信任值决定其获得相应的权限；而在TrustBAC模型中，用户只要获得了角色，便可以使用所有的权限.因此与TrustBAC模型相比，TRBAC模型能够在更细的粒度上实现对访问权限的控制.最后，TRBAC模型在用户使用角色的权限集合的过程中，对其行为可信性进行实时评估，用户当前的行为将影响其随后的访问权限；而TrustBAC模型只是在用户下一次获取角色前才重新评估，用户当前的行为并不对本次会话中的其他访问产生影响.因此TRBAC模型具有更好的动态性，能够及时制止用户的异常行为.4 结论本文分析了现有访问控制模型的不足，并在RBAC模型的基础上，提出了基于信任的访问控制模型TRBAC.与传统RBAC模型以及TrustBAC模型相比，TRBAC模型的优点表现在：1）增强了授权的动态性.TRBAC模型克服了RBAC静态分配权限的缺点，根据用户的信任值动态地决定授权，使模型能够随时发现用户的异常行为并及时作出反应. 2）增强了授权的安全性.TRBAC模型引入了基本权限集的概念，并根据用户的当前信任值决定是否授权，而不是根据用户的角色一次性地授予所有权限.TRBAC模型克服了TrustBAC模型安全性不足的缺点，使得用户无法利用自己的信任值提升所能获得的角色等级，用户获得的最大权限被限定在基本权限集的范围内.3）细化信任计算的粒度.在计算信任值时考虑不同上下文对用户不同信任特征的要求，使得信任值所反映的用户行为更加准确，对权限分配的控制也就更加精确.参考文献［1］Sejong O，Seog P.Task－role－based access control model［J］.Information System，2003，28（6）：533－536［2］Liu Wu，Duan Haixin，Zhang Hong，et al.Study on trust basedP2Pnetwork security management［J］.Journal on Communications，2008，29（11）：12－17（in Chinese）（刘武，段海新，张洪，等.基于信任的P2P网络安全管理体系结构研究［J］.通信学报，2008，29（11）：12－17）［3］Lin Chuang，Feng Fujun，Li Junshan.Access control in new network environment［J］.Journal of Software，2007，18（4）：955－966（in Chinese）（林闯，封富君，李俊山.新型网络环境下的访问控制技术［J］.软件学报，2007，18（4）：955－966）［4］Sandhu R，Coyne E J，Feinstein H L，et al.Role－based access control models［J］.IEEE Computer，1996，29（2）：38－47［5］Sandhu R，Bhamidipati V，Munawer Q.The ARBAC97 model for role－based administration of roles［J］.ACM Trans on Information and System Security（TISSEC），1999，2（1）：105－135［6］Sandhu R，Munawer Q.The ARBAC99model for administration of roles［C］//Proc of the 15th Annual Computer Security Applications Conf.Piscataway，NJ：IEEE，1999：229－238［7］Wei L K，Jarzabek S.A generic discretionary access control system for reuse frameworks［C］//Proc of the 22nd Int Computer Software and Applications Conf.Piscataway，NJ：IEEE，1998：356－361［8］Fan Yanfang，Han Zhen，Liu Jiqiang，et al.A mandatory access control model with enhanced flexibility multimedia informationnetworking and security［C］//Proc of the Int Conf on Digital Object Identifier 2009.Piscataway，NJ：IEEE，2009：120－124［9］Li N，Mitchell J C，Winsborough W H.Design of a rolebased trust－management framework［C］//Proc of the IEEE Symp on Security and Privacy.Washington，DC：IEEE Computer Society，2002：114－130 ［10］Blaze M，Feigenbaum J，Lacy J.Decentralized trust management［C］//Proc of the 17th Symp on Security and Privacy.Los Alamitos：IEEE Computer Society，1996：164－173［11］Chakraborty S，Ray I.TrustBAC－integrating trust relationships into the RBAC model for access control in open systems［C］//Proc of the ACM Symp on Access Control Models and Technologies.New York.ACM，2006：49－58。

网络访问控制技术综述摘要：随着科学的不断进步，计算机技术在各个行业中的运用更加普遍。

在计算机技术运用过程中信息安全问题越发重要，网络访问控制技术是保证信息安全的常用方式。

本文介绍了研究网络访问控制技术的意义，主流的访问控制技术以及在网络访问控制技术在网络安全中的应用。

关键字：信息安全网络访问控制技术0．引言近年来，计算机网络技术在全球范围内应用愈加广泛。

计算机网络技术正在深入地渗透到社会的各个领域，并深刻地影响着整个社会。

当今社会生活中，随着电子商务、电子政务及网络的普及,信息安全变得越来越重要。

在商业、金融和国防等领域的网络应用中，安全问题必须有效得到解决，否则会影响整个网络的发展。

一般而言信息安全探讨的课题包括了:入侵检测(Intrusion Deteetion)、加密(Encryption)、认证(Authentieation)、访问控制(Aeeess Control)以及审核(Auditing)等等。

作为五大服务之一的访问控制服务，在网络安全体系的结构中具有不可替代的作用。

所谓访问控制(Access Control),即为判断使用者是否有权限使用、或更动某一项资源,并防止非授权的使用者滥用资源。

网络访问控制技术是通过对访问主体的身份进行限制，对访问的对象进行保护，并且通过技术限制，禁止访问对象受到入侵和破坏。

1.研究访问控制技术的意义全球互联网的建立以及信息技术飞快的发展，正式宣告了信息时代的到来。

信息网络依然成为信息时代信息传播的神经中枢，网络的诞生和大规模应用使一个国家的领域不仅包含传统的领土、领海和领空，而且还包括看不见、摸不着的网络空间。

随着现代社会中交流的加强以及网络技术的发展，各个领域和部门间的协作日益增多。

资源共享和信息互访的过程逐越来越多，人们对信息资源的安全问题也越发担忧。

因此，如何保证网络中信息资源的安全共享与互相操作，已日益成为人们关注的重要问题。

信息要获得更大范围的传播才会更能体现出它的价值，而更多更高效的利用信息是信息时代的主要特征，谁掌握的信息资源更多，就能更好的做出更正确的判断。